Este artigo fornece uma visão abrangente do suporte de autenticação por chave de acesso (FIDO2) no Microsoft Entra ID. Ele descreve a compatibilidade entre navegadores da Web, aplicativos nativos e sistemas operacionais, permitindo a autenticação multifator sem senha. Você também encontrará considerações específicas da plataforma, problemas conhecidos e orientações para suporte a aplicativos e provedores de identidade (IdP) de terceiros. Use essas informações para garantir uma integração perfeita e experiências de usuário ideais com chaves de acesso em seu ambiente.
Para mais informações sobre como iniciar sessão com chaves de segurança FIDO2 num dispositivo Windows, consulte Ative o login de chave de segurança FIDO2 para Windows 10 e 11 dispositivos com Microsoft Entra ID.
Nota
O Microsoft Entra ID suporta tanto chaves de acesso sincronizadas como chaves de acesso ligadas ao dispositivo como métodos de autenticação Generally Available (GA).
A secção seguinte aborda o suporte para autenticação por chave de acesso (FIDO2) em navegadores web com Microsoft Entra ID.
| SO |
Cromado |
Edge |
Firefox |
Safari |
|
Windows |
✅ |
✅ |
✅ |
N/A |
|
macOS |
✅ |
✅ |
✅ |
✅ |
|
SO ChromeOS |
✅ |
N/A |
N/A |
N/A |
|
Aplicações Linux |
✅ |
✅ |
✅ |
N/A |
|
iOS |
✅ |
✅ |
✅ |
✅ |
|
Androide |
✅ |
✅ |
❌ |
N/A |
Windows
- O início de sessão com chave de segurança requer um dos seguintes itens:
- Windows 10 versão 1903 ou posterior
- Microsoft Edge baseado em Chromium
- Chrome 76 ou posterior
- Firefox 66 ou posterior
macOS
- Iniciar sessão com passkey requer macOS Catalina 11.1 ou posterior com Safari 14 ou posterior, porque o Microsoft Entra ID requer verificação do utilizador para autenticação multifator.
- As chaves de segurança NFC (near-field communication) e Bluetooth Low Energy (BLE) não são suportadas no macOS pela Apple.
- O novo registro de chave de segurança não funciona nesses navegadores macOS porque eles não solicitam a configuração de biometria ou PIN.
SO ChromeOS
- As chaves de segurança NFC e BLE não são suportadas no ChromeOS pela Google.
- O registo da chave de segurança não é suportado no ChromeOS ou no navegador Chrome.
Aplicações Linux
- Iniciar sessão com passkey no Microsoft Authenticator não é suportado no Firefox no Linux.
iOS
- Iniciar sessão com passkey requer iOS 14.3 ou posterior porque o Microsoft Entra ID exige verificação do utilizador para autenticação multifator.
- As chaves de segurança BLE não são suportadas no iOS pela Apple.
- NFC com chaves de segurança certificadas FIPS 140-3 não é suportado no iOS pela Apple.
- O novo registro de chave de segurança não funciona em navegadores iOS porque eles não solicitam a configuração de biometria ou PIN.
Android
- Iniciar sessão com passkey requer o Google Play Services 21 ou posterior porque o Microsoft Entra ID exige verificação do utilizador para autenticação multifator.
- As chaves de segurança BLE e NFC não são suportadas no Android pela Google.
- O login com chave de acesso não é compatível com o Firefox no Android.
As secções seguintes abordam o suporte para autenticação por chave de acesso (FIDO2) no Microsoft Entra ID para:
Suporte para aplicações Microsoft com broker de autenticação
As aplicações da Microsoft fornecem suporte nativo para autenticação por chave de acesso para todos os utilizadores que tenham um broker de autenticação instalado para o seu sistema operativo. A autenticação por chave de acesso também é suportada para aplicativos de terceiros que usam o agente de autenticação.
Se um utilizador instalar um broker de autenticação, pode optar por iniciar sessão com uma chave de acesso ao aceder a uma aplicação como o Outlook. São redirecionados para iniciar sessão com a chave de acesso e redirecionados de volta para o Outlook como utilizador iniciado após autenticação bem-sucedida.
As tabelas a seguir listam quais agentes de autenticação são suportados para diferentes sistemas operacionais.
| SO |
Agente de autenticação |
|
iOS |
Microsoft Authenticator |
|
macOS |
Microsoft Intune Portal da Empresa |
|
Androide |
Autenticador, Portal da Empresa ou aplicação Link to Windows |
Suporte a aplicações Microsoft sem broker de autenticação
A tabela seguinte lista o suporte de aplicações Microsoft para passkey (FIDO2) sem um intermediário de autenticação. Atualize as suas aplicações para a versão mais recente para se certificar de que funcionam com chaves de acesso.
| aplicação |
macOS |
iOS |
Android |
|
Ambiente de Trabalho Remoto |
✅ |
✅ |
✅ |
|
Aplicação do Windows |
✅ |
✅ |
✅ |
| Microsoft 365 Copilot (Office) |
N/A |
✅ |
✅ |
| Word |
✅ |
✅ |
✅ |
| PowerPoint |
✅ |
✅ |
✅ |
| Excel |
✅ |
✅ |
✅ |
| OneNote |
✅ |
✅ |
✅ |
| Laço |
N/A |
✅ |
✅ |
| OneDrive |
✅ |
✅ |
❌ |
| Outlook |
✅ |
✅ |
❌ |
| Equipas |
✅ |
✅ |
❌ |
| Edge |
✅ |
✅ |
✅ |
Suporte a aplicativos de terceiros sem agente de autenticação
Se o usuário ainda não tiver instalado um agente de autenticação, ele ainda poderá entrar com uma chave de acesso quando acessar aplicativos habilitados para MSAL. Para obter mais informações sobre os requisitos para aplicativos habilitados para MSAL, consulte Suporte à autenticação sem senha com chaves FIDO2 em aplicativos que você desenvolve.
Suporte a IdP de terceiros
Nota
A autenticação por chave de acesso com um IdP de terceiros não é suportada em aplicações de terceiros que usam o broker de autenticação, nem em aplicações Microsoft no Android, iOS ou macOS neste momento.
O Microsoft Entra ID não suporta autenticação por chave de acesso com um IdP de terceiros no iOS/macOS.
Como solução alternativa, os IdPs de terceiros podem implementar a sua própria extensão single log-on (SSO) em dispositivos iOS/macOS se forem geridos pelo Mobile Gestão de Dispositivos (MDM).
A estrutura de SSO extensível da Apple em dispositivos gerenciados por MDM permite que os provedores de identidade intercetem solicitações de rede direcionadas para suas URLs.
Quando a extensão SSO do provedor de identidade interceta uma solicitação de rede, eles podem implementar um handshake de autenticação personalizado.
Isto permite-lhes usar um navegador do sistema ou APIs nativas da Apple para autenticação por chave de acesso sem necessidade de alterações nas aplicações da Microsoft.
Para obter mais informações, consulte a seguinte documentação da Apple:
Windows
- Iniciar sessão com a chave de segurança FIDO2 para aplicações nativas requer o Windows 10 versão 1903 ou posterior.
- Iniciar sessão com chave de acesso no Microsoft Authenticator para aplicações nativas requer o Windows 11 versão 22H2 ou posterior.
-
Microsoft Graph PowerShell suporta passkey (FIDO2). Alguns módulos PowerShell que usam Internet Explorer em vez de Edge não são capazes de realizar autenticação FIDO2. Por exemplo, módulos PowerShell para SharePoint Online ou Teams, ou quaisquer scripts PowerShell que exijam credenciais de administrador, não pedem FIDO2.
- Como solução alternativa, a maioria dos fornecedores pode colocar certificados nas chaves de segurança FIDO2. A autenticação baseada em certificado (CBA) funciona em todos os navegadores. Se você puder habilitar o CBA para essas contas de administrador, poderá exigir o CBA em vez de FIDO2 nesse ínterim.
iOS
- Iniciar sessão com chave de acesso em aplicações nativas sem o plug-in Microsoft Enterprise Single Sign On (SSO) requer iOS 16.0 ou posterior.
- O início de sessão com chave de acesso em aplicações nativas com o plug-in SSO requer o iOS 17.1 ou posterior.
macOS
- No macOS, o plug-in Microsoft Enterprise Single Sign On (SSO) é obrigado a ativar Portal da Empresa como intermediário de autenticação. Os dispositivos que executam o macOS devem atender aos requisitos do plug-in SSO, incluindo o registro no gerenciamento de dispositivos móveis.
- O início de sessão com chave de acesso em aplicações nativas com o plug-in SSO requer o macOS 14.0 ou posterior.
Android
- O início de sessão com a chave de segurança FIDO2 para aplicações nativas requer o Android 13 ou posterior.
- Iniciar sessão com passkey no Microsoft Authenticator para aplicações nativas requer Android 14 ou versão posterior.
- Iniciar sessão com chaves de segurança FIDO2 fabricadas pela Yubico com o YubiOTP ativado pode não funcionar em dispositivos Android mais antigos. Como solução alternativa, os utilizadores podem desativar o YubiOTP e tentar iniciar sessão novamente. Para mais informações, consulte dispositivos OEM Android problemas conhecidos no FIDO.
Próximos passos
Ativar início de sessão sem palavra-passe com chave de segurança